Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Ant Media Server Community Edition i koordynował proces ujawniania informacji.
Poprzez manipulowanie nagłówkami w rządaniach HTTP nieautoryzowany użytkownik może wykorzystać podatność CVE-2024-3462 i uzyskać dostęp do wszystkich (z wyłączeniem administracyjnych) funkcjonalności API programu Ant Media Server Community Edition.
Przetestowane zostały wersje 2.7.0 - 2.9.0. Ponieważ firma Ant Media nie potwierdziła wydania aktualizacji bezpieczenśtwa, istnieje ryzyko, iż nowsze wersje również będą podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Maksymowi Brzęczkowi (efigo.pl).